Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

접두사별 카운팅 및 폴리싱 작업

접두사별 카운팅 및 폴리싱 개요

각 IPv4 주소 범위에 대한 별도의 카운팅 및 폴리싱

접두사별 카운팅 및 폴리싱을 사용하면 소스 또는 대상 주소와 일치하는 IPv4 방화벽 필터 용어를 구성하고, 단일 속도 2색 폴리서를 용어 작업으로 적용하지만, 패킷 헤더의 소스 또는 대상을 기반으로 일치하는 패킷을 특정 카운터 및 폴리서 인스턴스와 연결할 수 있습니다. 단일 주소 또는 주소 그룹에 대해 암묵적으로 별도의 카운터 또는 폴리서 인스턴스를 생성할 수 있습니다.

접두사별 카운팅 및 폴리싱은 적용할 폴리서의 이름, 접두사별 카운팅 활성화 여부, 소스 또는 대상 주소 접두사 범위를 지정하는 접두사별 작업 구성을 사용합니다.

접두사 범위는 IPv4 주소 마스크의 1개에서 16개 사이의 순차 설정 비트를 지정합니다. 접두사 범위의 길이는 적게는 2개에서 많게는 65,536개의 카운터 및 폴리서 인스턴스로 구성된 카운터 및 폴리서 세트의 크기를 결정합니다. 접두사 범위의 비트 위치에 따라 필터 일치 패킷의 인스턴스 집합으로의 인덱싱이 결정됩니다.

주:

접두사별 작업은 소스 또는 대상 접두사 범위에 따라 다르지만 특정 소스 또는 대상 주소 범위에 한정되지 않으며 특정 인터페이스에 한정되지 않습니다.

인터페이스의 트래픽에 접두사별 작업을 적용하려면 소스 또는 대상 주소와 일치하는 방화벽 필터 용어를 구성한 다음 인터페이스에 방화벽 필터를 적용합니다. 필터링된 트래픽의 플로우는 필터링된 패킷 헤더의 소스 또는 목적지 주소를 기반으로 패킷별로 선택되는 접두사별 카운터 및 폴리서 인스턴스를 사용하여 속도가 제한됩니다.

접두사별 작업 구성

접두사별 작업을 구성하려면 다음 정보를 지정합니다.

  • 접두사별 작업 이름 - 소스 또는 대상 주소의 패킷과 일치하는 IPv4 표준 방화벽 필터 용어의 작업으로 참조할 수 있는 이름입니다.

  • Policer name(폴리서 이름) - 접두사별 인스턴스를 암시적으로 생성하려는 단일 속도의 2색 폴리서의 이름입니다.

    주:

    어그리게이션 이더넷 인터페이스의 경우, 논리적 인터페이스 폴리서(어그리게이션 폴리서라고도 함)를 참조하는 접두사별 작업을 구성할 수 있습니다. IPv4 표준 방화벽 필터에서 이러한 유형의 접두사별 작업을 참조한 다음 인터페이스의 집계 수준에서 필터를 적용할 수 있습니다.

  • Counting option(카운팅 옵션) - 접두사별 카운터를 활성화하려는 경우 포함할 옵션입니다.

  • Filter-specific option(필터별 옵션) - 방화벽 필터의 모든 용어에서 단일 카운터 및 폴리서 세트를 공유하려는 경우 포함할 옵션입니다. 이러한 방식으로 작동하는 접두사별 작업을 필터별 모드에서 작동한다고 합니다. 이 옵션을 활성화하지 않으면 접두사별 작업이 용어 별 모드에서 작동하며, 이는 접두사별 작업을 참조하는 각 필터 용어에 대해 별도의 카운터 및 폴리서 집합이 생성됨을 의미합니다.

  • Source address prefix length—소스 주소와 일치하는 패킷에 사용할 주소 접두사의 길이(0에서 32까지)입니다.

  • Destination address prefix length(대상 주소 접두사 길이) - 대상 주소와 일치하는 패킷에 사용할 주소 접두사의 길이(0에서 32까지)입니다.

  • 서브넷 접두사 길이 - 소스 또는 대상 주소와 일치하는 패킷에 사용할 서브넷 접두사의 길이(0에서 32까지)입니다.

소스 및 대상 주소 접두사 길이는 서브넷 접두사 길이보다 1비트에서 16비트 더 길도록 구성해야 합니다. 소스 또는 대상 주소 접두사 길이를 구성된 서브넷 접두사 길이보다 16비트 이상으로 구성하면 구성을 커밋하려고 할 때 오류가 발생합니다.

카운터 및 폴리서 세트 크기 및 인덱싱

접두사별 작업에 대해 암묵적으로 생성된 접두사별 작업(카운터 또는 폴리서)의 수는 주소 접두사의 길이와 서브넷 접두사의 길이에 따라 결정됩니다.

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

표 1 은(는) 카운터 및 폴리서 집합 크기와 인덱싱의 예를 보여줍니다.

표 1: 카운터 및 폴리서 세트 크기 및 인덱싱의 예

접두사별 작업에 지정된 접두사 길이의 예

카운터 또는 폴리서 세트 크기 계산

인스턴스 인덱싱

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

주:

이 계산은 지원되는 최대 카운터 또는 폴리서 집합 크기를 보여줍니다.

인스턴스 0:

x.x. 0.0

인스턴스 1:

x.x. 0.1

인스턴스 65535:

x.x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

인스턴스 0:

x.x.x. 0

인스턴스 1:

x.x.x. 1

인스턴스 255:

x.x.x. 255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

인스턴스 0:

x.x.x. 0

인스턴스 1:

x.x.x. 1

인스턴스 127:

x.x.x. 127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

인스턴스 0:

x.x. 0.x

인스턴스 1:

x.x. 1.x

인스턴스 15:

x.x. 15.x

필터별 카운터 및 폴리서 세트 개요

기본적으로 접두사별 폴리서 세트는 용어 별 모드에서 작동하므로, 주어진 방화벽 필터에 대해 Junos OS는 접두사별 작업을 참조하는 모든 필터 용어에 대해 별도의 카운터 및 폴리서 세트를 생성합니다. 옵션으로, 단일 접두사별 폴리서 집합이 해당 폴리서를 참조하는 모든 용어(동일한 방화벽 필터 내)에서 사용되도록 필터별 모드에서 작동하도록 접두사별 폴리서 세트를 구성할 수 있습니다.

동일한 접두사별 폴리서 집합을 참조하는 여러 용어가 있는 IPv4 방화벽 필터의 경우, 필터별 모드에서 작동하도록 폴리서 집합을 구성하면 방화벽 필터 수준에서 설정된 폴리서 집합의 활동을 계산하고 모니터링할 수 있습니다.

주:

용어별 모드 및 필터별 모드도 폴리서에 적용됩니다. 필터별 폴리서 개요을(를) 참조하세요.

접두사별 폴리서 집합이 필터별 모드에서 작동하도록 하려면 다음 계층 수준에서 명령문을 포함할 filter-specific 수 있습니다.

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

IPv4(family inet) 방화벽 필터에서만 필터별, 접두사별 폴리서 세트를 참조할 수 있습니다.

필터별 폴리서 개요

기본적으로 폴리서는 용어 별 모드로 작동하므로, 주어진 방화벽 필터에 대해 Junos OS는 폴리서를 참조하는 모든 필터 용어에 대해 별도의 폴리서 인스턴스를 생성합니다. 옵션으로, 폴리서를 참조하는 모든 용어(동일한 방화벽 필터 내에서)에서 단일 폴리서 인스턴스가 사용되도록 필터별 모드에서 작동하도록 폴리서를 구성할 수 있습니다.

동일한 폴리서를 참조하는 여러 용어가 있는 IPv4 방화벽 필터의 경우, 폴리서가 필터별 모드에서 작동하도록 구성하면 방화벽 필터 수준에서 폴리서의 활동을 카운트하고 모니터링할 수 있습니다.

주:

용어별 모드 및 필터별 모드는 접두사별 폴리서 세트에도 적용됩니다.

단일 속도 2색 폴리서가 필터별 모드에서 작동할 수 있도록 하려면 다음 계층 수준에서 명령문을 포함할 filter-specific 수 있습니다.

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

IPv4(family inet) 방화벽 필터에서만 필터별 폴리서를 참조할 수 있습니다.

예: 접두사별 카운팅 및 폴리싱 구성

이 예에서는 접두사별 카운팅 및 폴리싱을 구성하는 방법을 보여줍니다.

요구 사항

이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 IPv4 방화벽 필터와 일치하는 패킷에서 소스 주소 필드의 마지막 옥텟을 기반으로 접두사별 카운팅 및 폴리싱을 구성합니다.

rate-limit 트래픽은 1,000,000bps의 대역폭과 63,000바이트의 버스트 크기 제한으로 명명된 1Mbps-policer 단일 속도 2색 폴리서로, 트래픽 제한을 초과하는 트래픽 흐름의 모든 패킷을 폐기합니다.

방화벽 필터에서 전달된 패킷에 포함된 IPv4 주소와는 별개로, 접두사별 작업이라는 psa-1Mbps-per-source-24-32-256 이름은 0에서 255까지 번호가 매겨진 256개의 카운터 및 폴리서 집합을 지정합니다. 각 패킷에 대해 소스 주소 필드의 마지막 옥텟은 세트에서 연결된 접두사별 카운터 및 폴리서로 인덱싱하는 데 사용됩니다.

  • 소스 주소가 옥텟 0x0000 00000 인덱스로 끝나는 패킷, 세트의 첫 번째 카운터 및 폴리서.

  • 소스 주소가 집합의 옥텟 0x0000 0001 인덱스, 두 번째 카운터 및 폴리서로 끝나는 패킷.

  • 소스 주소가 옥텟 0x1111 1111 인덱스, 세트의 마지막 카운터 및 폴리서로 끝나는 패킷.

방화벽 필터에는 limit-source-one-24 소스 주소10.10.10.0의 서브넷에 있는 /24 모든 패킷과 일치하는 단일 용어가 포함되어 있으며, 이러한 패킷을 접두사별 작업으로 psa-1Mbps-per-source-24-32-256전달합니다.

토폴로지

이 예에서는 필터 용어가 단일 소스 주소의 서브넷과 /24 일치하기 때문에 접두사별 세트의 각 카운팅 및 폴리싱 인스턴스는 하나의 소스 주소에만 사용됩니다.

  • 소스 주소가 10.10.10.0 있는 패킷은 세트의 첫 번째 카운터와 폴리서를 인덱싱합니다.

  • 소스 주소가 10.10.10.1 있는 패킷은 세트의 두 번째 카운터와 폴리서를 인덱싱합니다.

  • 소스 주소가 10.10.10.255 있는 패킷은 세트의 마지막 카운터와 폴리서를 인덱싱합니다.

이 예는 접두사별 작업의 가장 간단한 사례를 보여주며, 필터 용어는 접두사별 카운터 및 폴리서 집합으로 인덱싱하기 위해 접두사별 작업에 지정된 접두사 길이와 동일한 접두사 길이를 가진 한 주소에서 일치합니다.

접두사별 카운팅 및 폴리싱을 위한 다른 구성에 대한 설명은 을 참조하십시오 접두사별 카운팅 및 폴리싱 구성 시나리오.

구성

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.

이 예를 구성하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit] .

접두사별 카운팅 및 폴리싱을 위한 폴리서 구성

단계별 절차

접두사별 카운팅 및 폴리싱에 사용할 폴리서를 구성하려면:

  1. 단일 속도 2색 폴리서의 구성을 활성화합니다.

  2. 트래픽 제한을 정의합니다.

    이 제한을 준수하는 트래픽 흐름의 패킷은 (으)로 low설정된 PLP와 함께 전달됩니다.

  3. 부적합 트래픽에 대한 작업을 정의합니다.

    이 제한을 초과하는 트래픽 흐름의 패킷은 폐기됩니다. 단일 속도 2색 폴리서에 대해 구성 가능한 다른 작업으로는 포워딩 클래스를 설정하고 PLP 수준을 설정하는 것이 있습니다.

결과

구성 모드 명령을 입력하여 폴리서의 show firewall 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

폴리서를 기반으로 접두사별 작업 구성

단계별 절차

폴리서를 참조하고 소스 주소 접두사의 일부를 지정하는 접두사별 작업을 구성하려면 다음을 수행합니다.

  1. 접두사별 작업의 구성을 활성화합니다.

    접두사별 카운팅 및 폴리싱은 IPv4 트래픽에 대해서만 정의할 수 있습니다.

  2. 접두사별 집합을 생성할 폴리서를 참조합니다.

    주:

    어그리게이션 이더넷 인터페이스의 경우, 논리적 인터페이스 폴리서(어그리게이션 폴리서라고도 함)를 참조하는 접두사별 작업을 구성할 수 있습니다. IPv4 표준 방화벽 필터에서 이러한 유형의 접두사별 작업을 참조한 다음 인터페이스의 집계 수준에서 필터를 적용할 수 있습니다.

  3. IPv4 주소가 카운터 및 폴리서 세트에 인덱싱되는 접두사 범위를 지정합니다.

결과

구성 모드 명령을 입력하여 접두사별 show firewall 작업의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

접두사별 작업을 참조하는 IPv4 필터 구성

단계별 절차

접두사별 작업을 참조하는 IPv4 표준 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. IPv4 표준 방화벽 필터의 구성을 활성화합니다.

    접두사별 카운팅 및 폴리싱은 IPv4 트래픽에 대해서만 정의할 수 있습니다.

  2. 패킷 소스 주소 또는 대상 주소와 일치하도록 필터 용어를 구성합니다.

  3. 접두사별 작업을 참조하도록 필터 용어를 구성합니다.

    또한 이 작업을 사용하여 next term 각 호스트에 대한 모든 HTTP(Hypertext Transfer Protocol) 트래픽이 500Kbps로 전송되도록 구성하고 총 HTTP 트래픽을 1Mbps로 제한할 수 있습니다.

결과

구성 모드 명령을 입력하여 접두사별 show firewall 작업의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

논리적 인터페이스에서 IPv4 입력 트래픽에 방화벽 필터 적용

단계별 절차

논리적 인터페이스에서 IPv4 입력 트래픽에 방화벽 필터를 적용하려면 다음을 수행합니다.

  1. 논리적 인터페이스에서 IPv4 구성을 활성화합니다.

  2. IP 주소를 구성합니다.

  3. IPv4 표준 상태 비저장 방화벽 필터를 적용합니다.

결과

구성 모드 명령을 입력하여 접두사별 show interfaces 작업의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

인터페이스에 적용된 방화벽 필터 표시

목적

방화벽 필터가 limit-source-one-24 논리적 인터페이스의 so-0/0/2.0IPv4 입력 트래픽에 적용되었는지 확인합니다.

작업

show interfaces statistics 논리적 인터페이스에 so-0/0/2.0대해 운영 모드 명령을 사용하고 옵션을 포함합니다detail. 에 Input Filters 대한 Protocol inet명령 출력 섹션에서 필드는 입력 방향으로 IPv4 트래픽에 필터가 적용되었음을 나타내는 를 표시합니다limit-source-one-24.

방화벽 필터에 대한 접두사별 작업 통계 표시

목적

폴리서가 평가한 패킷 수를 확인합니다.

작업

운영 모드 명령을 show firewall prefix-action-stats filter filter-name prefix-action name 사용하여 방화벽 필터에 구성된 접두사별 작업에 대한 통계를 표시합니다.

옵션으로, 명령 옵션을 사용하여 from set-index to set-index 표시할 시작 및 종료 카운터 또는 폴리서를 지정할 수 있습니다. 폴리서 집합은 0에서 65535까지 인덱싱됩니다.

명령 출력은 지정된 필터 이름과 함께 폴리서 세트의 각 폴리서가 처리한 바이트 및 패킷 수 목록을 표시합니다.

용어별 폴리서의 경우 집합의 각 폴리서는 다음과 같이 식별됩니다.

필터별 폴리서의 경우, 각 폴리서는 다음과 같이 명령 출력에서 식별됩니다.

예제 접두사별 작업은 psa-1Mbps-per-source-24-32-256 예제 필터 limit-source-one-24의 한 용어에서만 참조되기 때문에 예제 폴리서는 1Mbps-policer 용어별 작업으로 구성됩니다. show firewall prefix-action-stats 명령 출력에서 폴리서 통계는 를 통해 psa-1Mbps-per-source-24-32-256-one-255, psa-1Mbps-per-source-24-32-256-one-1, 등으로 표시됩니다psa-1Mbps-per-source-24-32-256-one-0.

접두사별 카운팅 및 폴리싱 구성 시나리오

작업의 접두사 길이 및 필터링된 패킷의 주소 접두사 길이

표 2 에서는 접두사별 작업에 지정된 접두사 길이와 접두사별 작업을 참조하는 방화벽 필터 용어와 일치하는 주소의 접두사 길이 간의 관계를 설명합니다.

표 2: 접두사별 작업 시나리오 요약

카운터 및 폴리서 세트

패킷 필터링 기준

인스턴스 인덱싱

접두사별 작업 시나리오: 예: 접두사별 카운팅 및 폴리싱 구성

 

source-prefix-length = 32  subnet-prefix-length = 24

세트 크기: 2^8 = 256인스턴스 번호: 0 - 255

source-address = 10.10.10.0/24

인스턴스 0

10.10.10.0

인스턴스 1:

10.10.10.1

...

...

인스턴스 255:

10.10.10.255

접두사별 작업 시나리오: 시나리오 1: 여러 주소에서 방화벽 필터 용어 일치

source-prefix-length = 32  subnet-prefix-length = 24

세트 크기: 2^8 = 256인스턴스 번호: 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

인스턴스 0

10.10.10.0,10.11.x.0

인스턴스 1:

10.10.10.1,10.11.x.1

...

...

인스턴스 255:

10.10.10.255,10.11.x.255

/16 서브넷 x 에 있는 주소의 경우 범위는 0에서 255 사이입니다.

접두사별 작업 시나리오: 시나리오 2: 서브넷 접두사가 필터 일치 조건의 접두사보다 깁니다.

source-prefix-length = 32  subnet-prefix-length = 25

세트 크기: 2^7 = 128인스턴스 번호: 0 - 127

source-address = 10.10.10.0/24

인스턴스 0

10.10.10.0,10.10.10.128

인스턴스 1:

10.10.10.1,10.10.10.120

...

...

인스턴스 127:

10.10.10.255,10.10.10.127

접두사별 작업 시나리오: 시나리오 3: 서브넷128번째 카운터 및 폴리서 접두사가 방화벽 필터 일치 조건의 접두사보다 짧습니다.

source-prefix-length = 32  subnet-prefix-length = 24

세트 크기: 2^8 = 256인스턴스 번호: 0 - 255

source-address = 10.10.10.0/25

주:

에서 까지의 10.10.10.127 소스 주소를 10.10.10.0 가진 패킷만 접두사별 작업으로 전달됩니다.

인스턴스 0

10.10.10.0

인스턴스 1:

10.10.10.1

...

...

인스턴스 127:

10.10.10.127

인스턴스 128 – 255: 하지 않는

시나리오 1: 여러 주소에서 방화벽 필터 용어 일치

전체 예제 예: 접두사별 카운팅 및 폴리싱 구성은(는) 접두사별 작업의 가장 간단한 사례를 보여주며, 단일 용어 방화벽 필터가 접두사별 작업에 지정된 서브넷 접두사 길이와 동일한 접두사 길이를 가진 하나의 주소에서 일치합니다. 예제와 달리 이 시나리오에서는 단일 용어 방화벽 필터가 두 개의 IPv4 소스 주소에서 일치하는 구성을 설명합니다. 또한 접두사별 작업에 정의된 서브넷 접두사 길이와 다른 접두사 길이를 가진 소스 주소에서 추가 조건이 일치합니다. 이 경우 소스 주소10.11.0.0의 서브넷에서 /16 추가 조건이 일치합니다.

주:

소스 주소와 10.10.10.0/24일치하는 패킷과 달리, 소스 주소와 10.11.0.0/16 일치하는 패킷은 카운터 및 폴리서 세트의 인스턴스와 다대일 대응입니다.

접두사별 작업 인덱스로 전달되는 필터 매칭 패킷은 카운터 및 폴리싱 인스턴스가 다음과 같이 및 서브넷의 소스 10.10.10.0/2410.11.0.0/16 주소를 포함하는 패킷에 의해 공유되는 방식으로 설정됩니다.

  • 집합의 첫 번째 카운터와 폴리서는 소스 주소 10.10.10.010.11.x.0를 가진 패킷에 의해 인덱싱되며, 여기서 x 범위는 0 에서 까지입니다 255.

  • 집합의 두 번째 카운터와 폴리서는 소스 주소 10.10.10.110.11.x.1를 가진 패킷에 의해 인덱싱되며, 여기서 x 범위는 0 에서 까지입니다 255.

  • 집합의 256번째(마지막) 카운터 및 폴리서는 소스 주소 10.10.10.25510.11.x.255가 있는 패킷에 의해 인덱싱되며, 여기서 x 범위는 0 에서 까지입니다 255.

다음 구성은 단일 속도 2색 폴리서, 폴리서를 참조하는 접두사별 작업, 접두사별 작업을 참조하는 IPv4 표준 무상태 방화벽 필터를 구성하기 위한 명령문을 보여줍니다.

시나리오 2: 서브넷 접두사가 필터 일치 조건의 접두사보다 깁니다.

전체 예제 예: 접두사별 카운팅 및 폴리싱 구성은(는) 접두사별 작업의 가장 간단한 사례를 보여주며, 단일 용어 방화벽 필터는 접두사별 작업에 지정된 서브넷 접두사 길이와 동일한 접두사 길이를 가진 하나의 주소에서 일치합니다. 예제와 달리 이 시나리오는 접두사별 작업이 방화벽 필터와 일치하는 소스 주소의 접두사보다 긴 서브넷 접두사 길이를 정의하는 구성을 설명합니다. 이 경우 접두사별 작업은 서브넷 접두사 값을 25정의하고, 방화벽 필터는 서브넷의 소스 주소와 일치합니다 /24 .

주:

방화벽 필터는 에서 까지의 10.10.10.255소스 주소를 10.10.10.0 가진 접두사별 작업 패킷을 전달하는 반면, 접두사별 작업은 0에서 127까지 번호가 매겨진 128개의 카운터 및 폴리서 집합만 지정합니다.

접두사별 작업 인덱스로 전달되는 필터 매칭 패킷은 카운터 및 폴리싱 인스턴스가 서브넷 내의 두 소스 주소 중 하나를 포함하는 패킷에 의해 공유되는 방식으로 설정됩니다.10.10.10.0/24

  • 세트의 첫 번째 카운터와 폴리서는 소스 주소가 10.10.10.0 및 인 10.10.10.128패킷에 의해 인덱싱됩니다.

  • 집합의 두 번째 카운터와 폴리서는 소스 주소와 10.10.10.110.10.10.129.

  • 집합의 128번째(마지막) 카운터 및 폴리서는 소스 주소가 10.10.10.127 및 인 10.10.10.255패킷에 의해 인덱싱됩니다.

다음 구성은 단일 속도 2색 폴리서, 폴리서를 참조하는 접두사별 작업, 접두사별 작업을 참조하는 IPv4 표준 무상태 방화벽 필터를 구성하기 위한 명령문을 보여줍니다.

시나리오 3: 서브넷128번째 카운터 및 폴리서 접두사가 방화벽 필터 일치 조건의 접두사보다 짧습니다.

전체 예제 예: 접두사별 카운팅 및 폴리싱 구성은(는) 접두사별 작업의 가장 간단한 사례를 보여주며, 단일 용어 방화벽 필터는 접두사별 작업에 지정된 서브넷 접두사 길이와 동일한 접두사 길이를 가진 하나의 주소에서 일치합니다. 예제와 달리 이 시나리오는 접두사별 작업이 방화벽 필터와 일치하는 소스 주소의 접두사보다 짧은 서브넷 접두사 길이를 정의하는 구성을 설명합니다. 이 경우 필터 용어는 소스 주소10.10.10.0의 서브넷에서 /25 일치합니다.

주:

방화벽 필터는 소스 주소가 10.10.10.0 에서 까지 10.10.10.127인 패킷만 접두사별 작업을 전달하는 반면, 접두사별 작업은 0에서 255까지 번호가 매겨진 256개의 카운터 및 폴리서 집합을 지정합니다.

접두사별 작업 인덱스로 전달되는 일치하는 패킷은 카운터 및 폴리서 세트의 아래쪽 절반에만 해당됩니다.

  • 집합의 첫 번째 카운터와 폴리서는 소스 주소가 10.10.10.0있는 패킷에 의해 인덱싱됩니다.

  • 집합의 두 번째 카운터와 폴리서는 소스 주소가 10.10.10.1 및 인 10.10.10.129패킷에 의해 인덱싱됩니다.

  • 세트의 128번째 카운터와 폴리서는 소스 주소가 10.10.10.127있는 패킷에 의해 인덱싱됩니다.

  • 집합의 상위 절반(128에서 255까지 번호가 매겨진 인스턴스)은 이 특정 방화벽 필터에서 접두사별 작업으로 전달된 패킷에 의해 인덱싱되지 않습니다.

다음 구성은 단일 속도 2색 폴리서, 폴리서를 참조하는 접두사별 작업, 접두사별 작업을 참조하는 IPv4 표준 무상태 방화벽 필터를 구성하기 위한 명령문을 보여줍니다.